![](https://img-blog.csdnimg.cn/20201014180756918.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
istio
文章平均质量分 69
归来少年Plus
这个作者很懒,什么都没留下…
展开
-
kubernetes的基础功能
deployment,service原创 2023-03-07 20:46:23 · 89 阅读 · 0 评论 -
helm charts authorizationPolicy
authorizationPolicy的charts的yaml文件编写原创 2023-01-09 15:28:07 · 221 阅读 · 0 评论 -
Istio流量治理
Istio ingressgateway Gateway VirtualService原创 2022-11-15 18:01:29 · 180 阅读 · 0 评论 -
阿里云全链路流量配置
ingress gateway原创 2022-10-25 11:55:06 · 1068 阅读 · 0 评论 -
使用service account和TLS产生的流量按工作负载实施策略
sidecar egress istio TLS。原创 2022-10-13 19:36:12 · 108 阅读 · 0 评论 -
使用service account执行每个工作负载的策略
istio,安全策略原创 2022-10-13 19:27:45 · 118 阅读 · 0 评论 -
Istio系列学习(十五)----Istio可插拔的 服务安全
一、原理Istio的安全功能以一种安全基础设施方式提供的,不用修改业务代码就能提供服务访问安全。istio的安全原理如下图主要涉及四个重要的组件:◎ citadel用于秘钥和证书管理◎ Envoy作为数据面组件代理服务间的安全通信,包括认证、通道加密等;◎ Pilot作为配置管理服务,在安全场景下将安全相关的配置分发给Envoy;◎ Mixer可以通过配置Adapter来做授权和访问审计。部署和配置阶段Citadel监听Kube-apiserver,为每个Service都生成密钥和证书,原创 2022-02-16 09:34:22 · 785 阅读 · 0 评论 -
Istio系列学习(十四)----Istio策略适配器配置和Env适配器配置
一、Istio策略适配器配置Istio Adapter 机制的另外一个重要应用是策略执行。策略执行Adapter 负责处理 Mixer 转发的 Check 请求,并将该请求分发给对应的策略执行后端,根据后端的判断逻辑返回拒绝或通过,来控制网格内服务之间的访问。List适配器最简单的判断逻辑的 Adapter,它配置了一个黑名单或者白名单,匹配白名单则放行; 匹配黑名单则拒绝。1.Handler的配置 对Handler的配置如下。◎ providerUrl:名单的地址,当使用本地名单时可以不进原创 2022-02-15 09:29:22 · 726 阅读 · 0 评论 -
Istio系列学习(十三)----istio的遥测 适配器 配置
一. prometheus适配器prometheus:当前应用最广的开源系统监控和报警平台,存在数据此埃及能力强、查询语法灵活、扩展性强、方便集成的特点,尤其与云原生生态的结合,获得了越来越广泛的应用。prometheus的工作原理如图所示:prometheus主要工作为:抓取数据存储,提供PromQL语法进行查询,对接Grafana\Kiali等dashboard进行显示。adapter的功能一般可以使用Promethus提供的各种语言的sdk在业务代码中添加Metric的生成逻辑,通过h原创 2022-02-14 09:33:16 · 608 阅读 · 0 评论 -
Istio系列学习(十二)----istio策略和遥测的原理
一、应用场景除了需要具备服务治理功能,还需要知道服务运行的怎么样、有没有问题、以及哪里有问题等。这一般是APM的职能,设计数据采集、存储、检索。istio基于mixer的遥测数据收集在遥测数据采集场景下,Istio更前进了一步,将Envoy里的这部分 功能提取出来,放到一个服务端组件Mixer上,在逻辑上将Envoy和各种遥测数据的收集解耦,并将Envoy 和真正的遥测后端解耦。应用、代理、遥测后端的关系如下图:上面三种场景下mixer的表现:◎ 场景 1:当 APM协议改变时,只需修改原创 2022-02-11 09:38:42 · 1349 阅读 · 0 评论 -
Istio系列学习(十一)----Istio的外部服务配置和代理规则配置
一、Istio的外部 服务配置:ServiceEntry网格外的服务也需要像网格内的服务一样进行管理,所以需要将网格外的服务加入网格中,即把外部服务加入istio的服务发现。serviceEntry的配置示例如图包装了一个对www.weatherdb.com外部服务的访问。之后再virtualService中就可以做类似的处理了.serviceEntry规则的定义和用法主要字段包括:1)hosts:必选字段,表示外部服务的主机名,可以是DNS域名,也可以使用前缀模糊匹配。说明:◎原创 2022-02-10 09:33:07 · 3180 阅读 · 0 评论 -
Istio系列学习(十)----Istio的服务网关配置:Gateway
一、定义gateway和VirtualService的关系gateway:定义了服务从外面怎么访问,在入口处对服务进行统一治理。VirtualService:定义了匹配到的内部服务怎么流转。二、gateway配置实例含义:外部通过80端口访问网格内的服务gateway的配置如图:配合gateway的使用,修改VirtualService,在host上匹配gateway上请求的主机名,并通过gateways字段关联定义的gateway对象。VirtualService的定义如图三、gat原创 2022-01-26 09:36:46 · 7014 阅读 · 1 评论 -
Istio系列学习(九)----DestinationRule的典型应用
一、定义subset通过DestinationRule定义Subset,就可以配合VirtualService给每个Subset配置路由规 则二、服务熔断istio在功能上有异常点检查和连接池管理两种手段,一般结合使用。连接池配置:以上配置的效果是:为forecast服务配置最大80个连接,最大请求数为800,每个连接的请求数都不超过10个,连接超时是25毫秒;异常点检查:在4分钟内若有某个forecast服 务实例连续出现5次访问异常,比如返回5xx错误,则该forecast服务实例将被隔原创 2022-01-26 09:05:10 · 683 阅读 · 0 评论 -
Istio系列学习(八)----Istio的目标规则:DestinationRule
一、destinationRule 和 VirtualService的联系和区别1)两者之间的关系在讲解virtualService中,路由目标对象destination中会包含Service子集的subset字段,这个服务子集就是通过DestinationRule定义的。两者都是用于流量治理,那应用场景有什么区别?virtualService是一个虚拟的service,描述的是满足什么条件的流量被那个后端处理。类似于根据路径去匹配方法,是更开放的match条件。DestinationRule描原创 2022-01-24 09:25:38 · 2379 阅读 · 0 评论 -
Istio系列学习(七)----Istio的路由规则配置:TLS路由(TLSRoute)和TCP路由(TCPRoute)
1原创 2022-01-21 09:34:52 · 1846 阅读 · 0 评论 -
Istio系列学习(六)----Istio的路由规则配置:VirtualService
四、HTTP路由目标(HttpRouteDestination)表示满足条件的流量目标。是一个HTTPRouteDestination类型的数组,主要有三个字段:destination(请求目标)、weight(权重)和headers(HTTP头操作),其中destination和weight是必选字段.destination表示请求的目标。通过host、subset、port三个属性来描述。host:必选字段,istio中注册的服务名,包括网格内服务和通过 servi原创 2022-01-19 09:32:24 · 2368 阅读 · 0 评论 -
Istio系列学习(五)----Istio的路由规则配置:VirtualService
VirtualService是istio流量治理的核心配置.一、路由规则配置示例含义:对于forecast服务的访问,如果在请求的Header中location取值是north,则将该请求转发到服务的v2版本上,其他请求转发到服务的v1版本上。二、路由规则定义virtualService:用于定义对特定目标服务的一组流量规则。描述一个具体的服务对象,包含了对流量的各种处理。virtualService中的术语:service:服务service version:服务版本source: 发起原创 2022-01-18 09:45:55 · 4501 阅读 · 0 评论 -
Istio系列学习(四)----非侵入的流量治理(2)
六、服务访问入口1、定义:一般都会有一个入口服务,从外部可以访问,接收外部的请求并转发到后端的服务,还可以在入口处定义统一的过滤器实现限流、权限校验的功能。2、k8s服务的访问入口1)方式一:将服务发布成loadbalancer类型的Service,通过一个外部端口就能访问到集群中的指定服务。2)方式二:针对七层协议的ingress方式,ingress作为一个总的入口,根据七层协议中的路径将服务指向不同的后端服务。3、istio服务访问入口istio中通过gateway访问内部服务。该gatew原创 2022-01-18 09:02:26 · 288 阅读 · 0 评论 -
Istio系列学习(四)----非侵入的流量治理(1)
一、Istio流量治理目标:以基础设施的方式提供给用户非侵入的流量治理能力,用户只需关注自己的业务逻辑开发,无须关注服务访问管理.流量治理要解决的问题:服务的负载均衡2)同一个服务有两个版本在线,将一部分流量切到某个版本上3)服务保护,如限制并发连接数、请求数、隔离有故障的服务实例等4)动态修改服务中的内容1、流量治理的流程:控制面:1)管理面创建流量规则2)pilot将流量规则转换为envoy的标准格式3)pilot将规则下发给envoy数据面:1)envoy拦截Pod上原创 2022-01-17 09:31:18 · 833 阅读 · 0 评论 -
Istio系列学习(三)----Istio主要组件
一、Istio的完整的组件列表如下:% kubectl -n istio-system get podNAME READY STATUS grafana-5f54556df5-s4xr4 1/1 Runningistio-citadel-775c6cfd6b-8h5gt 1/1 Runningistio-galle原创 2022-01-14 09:40:20 · 1016 阅读 · 0 评论 -
Istio系列学习(二)----Istio架构
一、Istio的工作机制Istio分为控制面和数据面.控制面包含Pilot,Mixer,Citadel数据面由伴随每个应用程序部署的代理程序Envoy组成1、自动注入:在创建应用程序时自动注入Sidecar代理.在K8s场景下创建pod时,kube-API server调用管理面组件的Sidecar-Injector服务,自动修改应用程序的描述信息并注入Sidecar.在真正创建pod时,在创建业务容器的同时在pod中创建sidecar容器.2、流量拦截:在pod初始化时设置iptables规则,原创 2022-01-13 09:34:31 · 2958 阅读 · 0 评论 -
Istio系列学习(一)----Istio是什么
一、Istio是什么Isito是一个用于服务治理的开放平台Istio是一个Service Mesh形态的用于服务治理的开放平台Istio是一个与K8s紧密结合的适用于云原生场景的Service Mesh形态的用于服务治理的开放平台服务治理涉及连接(connect),安全(secure),策略执行(control)和可观察性(observe),1、connect:Istio通过集中配置的流量规则控制服务间的流量和调用,实现负载均衡,熔断,故障注入,重试,重定向等服务治理功能2、secure:I原创 2022-01-13 09:06:11 · 1774 阅读 · 0 评论